Reddit חשפה אירוע אבטחה שהוא מתואר כ"מתקפה חמורה", אותו היא חוקרת עבורו יותר מחודש שלדבריה כלל האקר פרוץ לחלק מהמערכת שלה וניגש למשתמש נתונים. הנתונים הללו כללו כמה כתובות דוא"ל נוכחיות, כמו גם גיבוי ישן של מסד נתונים שהכיל סיסמאות מומלחות ומגובבות.
טק. בידור. מַדָע. תיבת הדואר הנכנס שלך.
הירשם לחדשות הטכנולוגיה והבידור המעניינות ביותר שיש.
בהרשמה אני מסכים ל תנאי שימוש וסקרו את הודעת פרטיות.
החברה בפוסט היום אומרת שהיא גילתה את המתקפה - שהתרחשה בין ה-14 ל-18 ביוני - ב-19 ביוני. "תוקף סכן כמה מהחשבונות של העובדים שלנו עם ספקי אירוח הענן וקוד המקור שלנו", נכתב בפוסט. "כבר יש לנו את נקודות הגישה העיקריות שלנו לקוד ותשתית מאחורי אימות חזק הדורש שני גורמים אימות (2FA), למדנו שאימות מבוסס SMS אינו מאובטח כמעט כפי שהיינו מקווים, והמתקפה העיקרית הייתה באמצעות יירוט SMS. אנו מציינים זאת כדי לעודד את כולם כאן לעבור ל-2FA מבוסס אסימונים."
מעטה קטנה מאוד במה שקרה, ממשיך הפוסט, היא שהתוקף לא השיג גישת כתיבה למערכת Reddit. הם יכלו לקבל גישה לקריאה בלבד למערכות מסוימות - כמובן, מערכות שהכילו גיבוי, קוד מקור ויומנים אחרים. Reddit אומרת שהיא כבר נקטה צעדים בשבועות מאז המתקפה כדי לנעול ולסובב עוד יותר את כל סודות הייצור ומפתחות ה-API, וכדי לשפר את מערכות הרישום והניטור.
אתה יכול לקרוא את כל הפוסט כאן. בין הנתונים שניגשו אליהם:
Reddit אומר שהתוקף הצליח להיכנס לעותק גיבוי ישן של מסד נתונים שהכיל נתוני משתמש מוקדמים של Reddit, מהשקת האתר ב-2005 עד 2007. "הנתונים המשמעותיים ביותר הכלולים בגיבוי זה הם אישורי חשבון (שם משתמש + מלוח hashed סיסמאות), כתובות דוא"ל וכל התוכן (בעיקר ציבורי, אבל גם הודעות פרטיות) מאז".
אם נרשמת ל-Reddit אחרי 2007, זה לא משפיע עליך. החברה שולחת הודעה למשתמשים המושפעים ומאפסת סיסמאות בחשבונות שבהם ייתכן שהאישורים עדיין תקפים.
החברה כבר דיווחה על מה שקרה לרשויות החוק ומשתפת פעולה בחקירה. להלן הצעדים שאומרים שהמשתמשים צריכים לנקוט: "אם אישורי החשבון שלך הושפעו ויש סיכוי אישורים מתייחסים לסיסמה שבה אתה משתמש כעת ב-Reddit, אנו נגרום לך לאפס את חשבון Reddit שלך סיסמה. בין אם Reddit מבקש ממך לשנות את הסיסמה שלך ובין אם לאו, חשוב אם אתה עדיין משתמש בסיסמה שבה השתמשת ב-Reddit לפני 11 שנים באתרים אחרים כיום.
"אם כתובת הדואר האלקטרוני שלך הושפעה, חשב אם יש משהו בחשבון Reddit שלך שלא תרצה שייקשר בחזרה לכתובת הזו. תוכל למצוא הוראות כיצד להסיר מידע מחשבונך בנושא זה דף עזרה.”
החברה ממשיכה וממליצה על סיסמה חזקה וייחודית ואפשרות של אימות דו-גורמי - לא מסופק באמצעות SMS - לכל המשתמשים, וכדי לעקוב אחר התחזות או הונאות פוטנציאליות.